[중요]scvhost.exe msblast.exe 오류 해결 ,,,,[긴급경고]RPC 취약점 이용한 웜 msblast.exe 확산 꼭 보시고 에러 고치세요
작성자1004오빠작성시간03.08.12조회수263 목록 댓글 0[중요]scvhost.exe msblast.exe 오류 해결
증상은 대게 svchost.exe 오류가 난다거나..재부팅 복사+잘라내기가 안됨..링크 다운로드 안됨..사이트 메뉴바가 없어진채로 보인다거나 완전히 안뜨는 현상인거 같습니다만..;
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko 파일받기
부팅시 바로 다운로드 받아 패치 설치 후
ctrl+alt+del => 작업관리자 msblast.exe 프로세스 종료
시작=>실행=>regedit
아래경로대로 파일을 찾습니다
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe 삭제
설명에 나와있는것을 짧게 줄여서 썻습니다
,,,,[긴급경고]RPC 취약점 이용한 웜 msblast.exe 확산
자세한 속보가 avzone 에 올려지고 있습니다.
http://cafe.daum.net/avzone
이 자료는 수시로 업데이트되고 있습니다.
현재 국내외로 감염피해가 속출하고 있는 상황이며, 우리나라의 경우 8월 12일 새벽부터 피해자가 발생하고 있습니다.
재부팅되는 증상으로 인하여 컴퓨터를 사용하지 못하고 있는 문의가 다수 접수되고 있으며, 이것이 신종 웜이라는것이 보고되면서 오전부터 백신업체에서 긴급대응을 하고 있습니다.
이로 인한 정보가 공개되면 아마도 백신업체 홈페이지는 접속자 폭주로 인하여 접속이 원활하지 못할 것으로 예상됩니다.
저희 카페 역시 오전부터 접속자가 증가중이며, 이에 avzone 운영자는 긴급내용을 수시로 전체메일로 보낼 예정이므로 참고해 주시기 바랍니다.
피해를 보신 분들은 아래 긴급 조치법을 참고해 주시기 바랍니다.
재부팅으로 인하여 이메일 또는 인터넷으로 조치법을 확인중에 다시 꺼지거나 MSN 메신저 상담중에 꺼지거나 하는등의 문제가 있어서 긴급하게 재부팅 차단법을 공지합니다.
먼저 재부팅을 중단시키기 위해서 아래와 같은 응급조치를 해주시기 바랍니다.
[시작]버튼 - [실행] - 엔터를 치시고 아래 명령을 삽입후에 엔터쳐 주세요.
shutdown -a
이렇게 하면 재부팅이 중단됩니다.
또는 LAN 케이블을 뽑아 네트워크를 차단하고 패치를 해도 가능해 보입니다.
그런 다음에 윈도우폴더에 msblast.exe 파일이 존재하면 삭제하시고 아래 보안패치를 적용해 주시면 됩니다.
일단 이 파일이 실행중이라면 강제종료를 해주셔야 합니다.
Ctrl+Alt+Del 을 누르신 후에 프로세스에 이 파일이 실행중이라면 강제종료(제거)해 주시고 아래 보안 패치를 해주신 후에 재부팅해 주시기 바랍니다.
참고사이트
http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000424
http://www.hauri.co.kr/news/notice_read.html?start=2&uid=434&s_type=&s_text=
이 파일을 확인해 본 결과 UPX로 실행압축이 되어 있으며, 파일 크기는 6,176 바이트입니다.
이 웜이 실행되면 다음의 레지스트리에 등록이 된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이 름 : windows auto update
데이터 : msblast.exe
그런뒤 135번 포트를 통해 다른 PC들에게 DCOM RPC 공격을 시도하게 된다. 공격에 성공하면 tftp를 통해서 웜을 다운로드 받아서 실행하며, 계속적으로 이 같은 동작을 반복하게 된다.
또한 일부 시스템에서는 계속적인 재부팅 현상이 발생하기도 한다.
DCOM RPC 보안에 취약한 OS들은 아래와 같다.
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
따라서 위의 OS를 사용하고 있다면 다음을 통해서 보안 패치를 받기 바란다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
[서버 관리자]
이 웜은 135번 포트의 공격으로 보안에 취약한 PC를 공격하기 때문에 135번 포트를 방화벽에서 막을려고 하면 안된다.
135번 포트는 일반적으로 많이 사용하는 포트이기 때문이며 이 웜이 tftp를 통해서 다운로드 받기 때문에 4444번 포트를 방화벽에서 막는것이 우선적으로 효과적이다.
[일반 사용자]
보안 패치를 통해서 웜을 차단한다.
해당 패치의 다운로드 위치:
- Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
- Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
- Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
- Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
- Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
- Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
- Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
- 전산 전문가용: http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
- 최종 사용자용: http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
다음검색